用于调整交换机流表项的方法、装置和计算机可读介质

1.本公开的实施例涉及计算机技术领域，具体涉及一种用于调整交换机流表项的方法、装置和计算机可读介质。


背景技术：

2.软件定义网络（software define network，sdn）作为一种新型的网络架构，实现了传统网络中的网络转发设备的控制平面和数据平面的分离。由于sdn采用了控制平面与数据平面相分离的架构，导致sdn环境下不仅存在着针对主机等设备的传统ddos(distributed denial of service,分布拒绝服务)攻击，还存在对于数据平面的慢速率ddos攻击。
3.传统网络的ddos攻击的检测与缓解技术主要针对主机和服务器等设备的攻击进行防护，对于sdn网络中的交换机和控制器没有成熟防护策略，对于慢速率ddos攻击无法做到很好的检测与缓解。


技术实现要素：

4.本公开的内容部分用于以简要的形式介绍构思，这些构思将在后面的具体实施方式部分被详细描述。本公开的内容部分并不旨在标识要求保护的技术方案的关键特征或必要特征，也不旨在用于限制所要求的保护的技术方案的范围。
5.本公开的一些实施例提出了用于调整流表项的方法、装置、电子设备和计算机可读介质，来解决以上背景技术部分提到的技术问题。
6.第一方面，本公开的一些实施例提供了一种用于调整流表项的方法，该方法包括：获取交换机流表项信息；根据上述交换机流表项信息，生成流表项增量与时间的序列；根据上述序列确定目标时间周期内流表项的增量；根据上述目标时间周期内流表项的增量，确定在上述目标时间周期内的空间占用率；根据上述空间占用率，对流表项进行调整。
7.第二方面，本公开的一些实施例提供了一种调整流表项装置，装置包括：获取单元，被配置成获取交换机流表项信息；生成单元，被配置成根据上述交换机流表项信息，生成流表项增量与时间的序列；第一确定单元，被配置成根据上述序列确定目标时间周期内流表项的增量；第二确定单元，被配置成根据上述目标时间周期内流表项的增量，确定在上述目标时间周期内的空间占用率；调整单元，被配置成根据上述空间占用率，对流表项进行调整。
8.第三方面，本技术实施例提供了一种电子设备，该网络设备包括：一个或多个处理器；存储装置，用于存储一个或多个程序；当一个或多个程序被一个或多个处理器执行，使得一个或多个处理器实现如第一方面中任一实现方式描述的方法。
9.第四方面，本技术实施例提供了一种计算机可读介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如第一方面中任一实现方式描述的方法。
10.本公开的上述各个实施例中的一个实施例具有如下有益效果：首先获取交换机流
表项信息，之后根据获取到的交换机流表项信息，生成流表项增量与时间的序列，再根据序列确定目标时间周期内流表项的增量，进而根据目标时间周期内流表项的增量，确定在目标时间周期内的空间占用率，最后根据上述空间占用率，对流表项进行调整，从而对下一周期内空间使用情况有了较为精准的预测，从而可以根据不同的空间剩余率来对ddos攻击做出不同的应对，实现了对于ddos攻击更加完善的防御。
附图说明
11.结合附图并参考以下具体实施方式，本公开各实施例的上述和其他特征、优点及方面将变得更加明显。贯穿附图中，相同或相似的附图标记表示相同或相似的元素。应当理解附图是示意性的，元件和元素不一定按照比例绘制。
12.图1是根据本公开的一些实施例的调整流表项方法的一个应用场景的示意图；图2是根据本公开的调整流表项方法的一些实施例的流程图；图3是根据本公开的调整流表项装置的一些实施例的结构示意图；图4是适于用来实现本公开的一些实施例的电子设备的结构示意图。
具体实施方式
13.下面将参照附图更详细地描述本公开的实施例。虽然附图中显示了本公开的某些实施例，然而应当理解的是，本公开可以通过各种形式来实现，而且不应该被解释为限于这里阐述的实施例。相反，提供这些实施例是为了更加透彻和完整地理解本公开。应当理解的是，本公开的附图及实施例仅用于示例性作用，并非用于限制本公开的保护范围。
14.另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。在不冲突的情况下，本公开中的实施例及实施例中的特征可以相互组合。
15.需要注意，本公开中提及的“第一”、“第二”等概念仅用于对不同的装置、模块或单元进行区分，并非用于限定这些装置、模块或单元所执行的功能的顺序或者相互依存关系。
16.需要注意，本公开中提及的“一个”、“多个”的修饰是示意性而非限制性的，本领域技术人员应当理解，除非在上下文另有明确指出，否则应该理解为“一个或多个”。
17.本公开实施方式中的多个装置之间所交互的消息或者信息的名称仅用于说明性的目的，而并不是用于对这些消息或信息的范围进行限制。
18.下面将参考附图并结合实施例来详细说明本公开。
19.图1是根据本公开的一些实施例的调整流表项方法的一个应用场景的示意图。
20.如图1所示，服务器101可以获取交换机流表项信息102，之后根据上述交换机流表项信息102，生成流表项增量与时间的序列103，接着根据流表项增量与时间的序列103确定目标时间周期内流表项的增量104，再根据目标时间周期内流表项的增量104，确定在上述目标时间周期内的空间占用率105，最后根据上述空间占用率105，对流表项106进行调整。
21.可以理解的是，调整流表项方法可以是由终端设备来执行，或者也可以是由服务器101来执行，上述方法的执行主体还可以包括上述终端设备与上述服务器101通过网络相集成所构成的设备，或者还可以是各种软件程序来执行。其中，终端设备可以是具有信息处理能力的各种电子设备，包括但不限于智能手机、平板电脑、电子书阅读器、膝上型便携计算机和台式计算机等等。执行主体也可以体现为服务器201、软件等。当执行主体为软件时，
可以安装在上述所列举的电子设备中。其可以实现成例如用来提供分布式服务的多个软件或软件模块，也可以实现成单个软件或软件模块。在此不做具体限定。
22.应该理解，图2中的服务器数目仅仅是示意性的。根据实现需要，可以具有任意数目的服务器。
23.继续参考图2，示出了根据本公开的调整流表项方法的一些实施例的流程200。该调整流表项方法，包括以下步骤：步骤201，获取交换机流表项信息。
24.在一些实施例中，调整流表项方法的执行主体（例如图1所示的服务器）可以通过有线连接方式或者无线连接方式获取交换机流表项信息。需要指出的是，上述无线连接方式可以包括但不限于3g/4g连接、wifi连接、蓝牙连接、wimax连接、zigbee连接、uwb（ultra wideband）连接、以及其他现在已知或将来开发的无线连接方式。
25.在这里，上述交换机流表项信息通常是指在采样周期内交换机的寻址寄存器（tcam）中的流表数信息。
26.步骤202，根据上述交换机流表项信息，生成流表项增量与时间的序列。
27.在一些实施例中，基于步骤201中得到的网址，上述执行主体（例如图1所示的服务器）可以生成流表项增量与时间的序列。在这里，上述流表项增量与时间的序列通常是指以采样周期为单位的流表项增量的序列。作为示例，上述序列可以是以下形式：（第一采样周期，第一采样周期内增量），（第二采样周期，第二采样周期内增量）
…
（第n采样周期，第n采样周期内增量）。
28.在一些实施例的一些可选的实现方式中，流表项增量与时间的序列是根据以下公式生成的：式生成的：式生成的：其中，表示存储空间的总容量；；表示在时刻的未使用空间容量；表示在时刻的已使用空间容量；表示在时刻的未使用空间容量；；表示流表项增量与时间的序列。
29.步骤203，根据序列确定目标时间周期内流表项的增量。
30.在一些实施例中， 上述执行主体可以根据上述序列确定目标时间周期内流表项的增量。在这里，上述目标时间周期通常是指下一个时间周期或由用户指定的时间周期。
31.在这里，上述执行主体有多种方式根据上述序列确定目标时间周期内流表项的增量。作为示例，上述执行主体可以生成时间周期与增量的函数关系式，并用上述函数关系式预测目标时间周期内的流表项的增量。
32.步骤204，根据目标时间周期内流表项的增量，确定在目标时间周期内的空间占用率。
33.在一些实施例中，上述执行主体可以根据目标时间周期内流表项的增量，确定在目标时间周期内的空间占用率。在这里，上述空间占用率通常是指tcam的存储空间的使用情况。tcam (ternary content addressable memory)通常是指一种三态内容寻址存储器，主要用于快速查找acl、路由等表项。
34.步骤205，根据上述空间占用率，对流表项进行调整。
35.在一些实施例中，上述执行主体可以对流表项进行调整。在这里，上述对流表项进行调整通常是指对流表项进行删除或修改流表项预先设置的存储时间等操作。
36.在一些实施例的一些可选的实现方式中，上述执行主体可以响应于上述空间占用率满足第一预设条件，根据以下公式确定调整后的空闲超时时间：，其中，表示调整后得到的空闲超时时间；表示权重参数；表示第i条流表项的空闲超时时间；表示数据包的平均匹配时间，根据以下公式确定：，其中，表示第i条流表项匹配的数据包数目；表示第i条流表项的存活时间；表示第i条流表项的未命中时间。
37.作为示例，上述第一预设条件可以是空间占用率小于或等于百分之30。上述空闲超时时间通常是指闲置到指定时间后删除的时间。
38.在一些实施例的一些可选的实现方式中，上述执行主体可以响应于上述空间占用率满足第二预设条件，根据以下公式确定调整后的空闲超时时间：，其中，表示与存储容量相关的权重参数，取值范围为。作为示例，上述第二预设条件可以是空间占用率大于百分之八十小于或等于百分之百。
39.在一些实施例的一些可选的实现方式中，上述执行主体可以响应于上述空间占用率满足第三预设条件，根据以下公式确定调整后的空闲超时时间：，其中，表示网络中需要删除的流表项数目；表示存储空间的总容量；表示在时刻的已使用空间容量；表示时刻流表增量；根据上述流表项的存活时间，对存储空间内的流表项进行排序，得到流表项队列；根据上述需要删除的流表项数目，对上述流表项队列中的流表项进行删除。作为示例，上述第三预设条件可以是当目标周期内空间占用率大于百分之百。在这里，上述流表项队列通常是根据流表项的存活时间由大到小排列生成的序列。
40.本公开的上述各个实施例中的一个实施例具有如下有益效果：首先获取交换机流表项信息，之后根据获取到的交换机流表项信息，生成流表项增量与时间的序列，再根据序列确定目标时间周期内流表项的增量，进而根据目标时间周期内流表项的增量，确定在目标时间周期内的空间占用率，最后根据上述空间占用率，对流表项进行调整，从而对下一周期内空间使用情况有了较为精准的预测，从而可以根据不同的空间剩余率来对ddos攻击做出不同的应对，实现了对于ddos攻击更加完善的防御。
41.进一步参考图3，作为对上述各图所示方法的实现，本公开提供了一种调整流表项
装置的一些实施例，这些装置实施例与图2所示的那些方法实施例相对应，该装置具体可以应用于各种电子设备中。
42.如图3所示，一些实施例的调整流表项装置300包括：获取单元301、生成单元302、第一确定单元303、第二确定单元304和调整单元305。其中，获取单元301，被配置成获取交换机流表项信息；生成单元302，被配置成根据上述交换机流表项信息，生成流表项增量与时间的序列；第一确定单元303，被配置成根据上述序列确定目标时间周期内流表项的增量；第二确定单元304，被配置成根据上述目标时间周期内流表项的增量，确定在上述目标时间周期内的空间占用率；调整单元305，被配置成根据上述空间占用率，对流表项进行调整。
43.在一些实施例的可选实现方式中，流表项增量与时间的序列是根据以下公式生成的：的：的：其中，表示存储空间的总容量；表示在时刻的已使用空间容量；表示在时刻的未使用空间容量；表示在时刻的已使用空间容量；表示在时刻的未使用空间容量；；表示流表项增量与时间的序列。
44.在一些实施例的可选实现方式中，调整单元被进一步的配置成：响应于上述空间占用率满足第一预设条件，根据以下公式确定调整后的空闲超时时间：，其中，表示调整后得到的空闲超时时间；表示权重参数；表示第i条流表项的空闲超时时间；表示数据包的平均匹配时间，根据以下公式确定：，其中，表示第i条流表项匹配的数据包数目；表示第i条流表项的存活时间；表示第i条流表项的未命中时间。
45.在一些实施例的可选实现方式中，调整单元被进一步的配置成：响应于上述空间占用率满足第二预设条件，根据以下公式确定调整后的空闲超时时间：，其中，表示与存储容量相关的权重参数，取值范围为。
46.在一些实施例的可选实现方式中，调整单元被进一步的配置成：响应于上述空间占用率满足第三预设条件，根据以下公式确定调整后的空闲超时时间：，其中，表示网络中需要删除的流表项数目；表示存储空间的总容量；表示在时刻的已使用空间容量；表示时刻流表增量；根据上述流表项的存活时间，对存储空间内的流表项进行排序，得到流表项队列；根据上述需
要删除的流表项数目，对上述流表项队列中的流表项进行删除。
47.可以理解的是，该装置300中记载的诸单元与参考图2描述的方法中的各个步骤相对应。由此，上文针对方法描述的操作、特征以及产生的有益效果同样适用于装置300及其中包含的单元，在此不再赘述。
48.本公开的上述各个实施例中的一个实施例具有如下有益效果：首先获取交换机流表项信息，之后根据获取到的交换机流表项信息，生成流表项增量与时间的序列，再根据序列确定目标时间周期内流表项的增量，进而根据目标时间周期内流表项的增量，确定在目标时间周期内的空间占用率，最后根据上述空间占用率，对流表项进行调整，从而对下一周期内空间使用情况有了较为精准的预测，从而可以根据不同的空间剩余率来对ddos攻击做出不同的应对，实现了对于ddos攻击更加完善的防御。
49.下面参考图4，其示出了适于用来实现本公开的一些实施例的电子设备（例如图1中的服务器）400的结构示意图。图4示出的电子设备仅仅是一个示例，不应对本公开的实施例的功能和使用范围带来任何限制。
50.如图4所示，电子设备400可以包括处理装置（例如中央处理器、图形处理器等）401，其可以根据存储在只读存储器（rom）402中的程序或者从存储装置408加载到随机访问存储器（ram）403中的程序而执行各种适当的动作和处理。在ram 403中，还存储有电子设备400操作所需的各种程序和数据。处理装置401、rom 402以及ram 403通过总线404彼此相连。输入/输出（i/o）接口405也连接至总线404。
51.通常，以下装置可以连接至i/o接口405：包括例如触摸屏、触摸板、键盘、鼠标、摄像头、麦克风、加速度计、陀螺仪等的输入装置406；包括例如液晶显示器（lcd）、扬声器、振动器等的输出装置407；包括例如磁带、硬盘等的存储装置408；以及通信装置409。通信装置409可以允许电子设备400与其他设备进行无线或有线通信以交换数据。虽然图4示出了具有各种装置的电子设备400，但是应理解的是，并不要求实施或具备所有示出的装置。可以替代地实施或具备更多或更少的装置。图4中示出的每个方框可以代表一个装置，也可以根据需要代表多个装置。
52.特别地，根据本公开的一些实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的一些实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行流程图所示的方法的程序代码。在这样的一些实施例中，该计算机程序可以通过通信装置409从网络上被下载和安装，或者从存储装置408被安装，或者从rom 402被安装。在该计算机程序被处理装置401执行时，执行本公开的一些实施例的方法中限定的上述功能。
53.需要说明的是，本公开的一些实施例上述的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器（ram）、只读存储器（rom）、可擦式可编程只读存储器（eprom或闪存）、光纤、便携式紧凑磁盘只读存储器（cd-rom）、光存储器件、磁存储器件、或者上述的任意合适的组合。在本公开的一些实施例中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或
者与其结合使用。而在本公开的一些实施例中，计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读信号介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：电线、光缆、rf（射频）等等，或者上述的任意合适的组合。
54.在一些实施方式中，客户端、服务器可以利用诸如http（hypertext transfer protocol，超文本传输协议）之类的任何当前已知或未来研发的网络协议进行通信，并且可以与任意形式或介质的数字数据通信（例如，通信网络）互连。通信网络的示例包括局域网（“lan”），广域网（“wan”），网际网（例如，互联网）以及端对端网络（例如，ad hoc端对端网络），以及任何当前已知或未来研发的网络。
55.上述计算机可读介质可以是上述电子设备中所包含的；也可以是单独存在，而未装配入该电子设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被该电子设备执行时，使得该电子设备：获取交换机流表项信息；根据上述交换机流表项信息，生成流表项增量与时间的序列；根据上述序列确定目标时间周期内流表项的增量；根据上述目标时间周期内流表项的增量，确定在上述目标时间周期内的空间占用率；根据上述空间占用率，对流表项进行调整。
56.可以以一种或多种程序设计语言或其组合来编写用于执行本公开的一些实施例的操作的计算机程序代码，上述程序设计语言包括面向对象的程序设计语言—诸如java、smalltalk、c++，还包括常规的过程式程序设计语言—诸如“c”语言或类似的程序设计语言。程序代码可以完全地在用户计算机上执行、部分地在用户计算机上执行、作为一个独立的软件包执行、部分在用户计算机上部分在远程计算机上执行、或者完全在远程计算机或服务器上执行。在涉及远程计算机的情形中，远程计算机可以通过任意种类的网络——包括局域网（lan）或广域网（wan）——连接到用户计算机，或者，可以连接到外部计算机（例如利用因特网服务提供商来通过因特网连接）。
57.附图中的流程图和框图，图示了按照本公开各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，该模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。
58.描述于本公开的一些实施例中的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中，例如，可以描述为：一种处理器包括获取单元、生成单元、第一确定单元、第二确定单元和调整单元。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定，例如，接收单元还可以被描述为“获取交换机流表
项信息的单元”。
59.本文中以上描述的功能可以至少部分地由一个或多个硬件逻辑部件来执行。例如，非限制性地，可以使用的示范类型的硬件逻辑部件包括：现场可编程门阵列（fpga）、专用集成电路（asic）、专用标准产品（assp）、片上系统（soc）、复杂可编程逻辑设备（cpld）等等。
60.以上描述仅为本公开的一些较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本公开的实施例中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离上述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本公开的实施例中公开的（但不限于）具有类似功能的技术特征进行互相替换而形成的技术方案。